瑞星卡卡安全论坛

瑞星手动扫描中了Backdoor.Win32.Gpigeon.2007.ec,可以删除,但是重启后又有了,求大侠指点,谢谢啦,附上日志.

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)


附件: 10239522008315210936.txt

一、拔掉网线，用XDELBOX1.6删除以下文件：
C:\WINDOWS\System32\LYLoadbr.exe
C:\WINDOWS\System32\LYLeador.exe
C:\WINDOWS\System32\LYLoador.exe
C:\WINDOWS\System32\LYLoadar.exe
C:\WINDOWS\System32\LYLoadmr.exe
C:\WINDOWS\System32\LYLoadhr.exe
C:\WINDOWS\System32\LYLoadqr.exe
C:\WINDOWS\System32\kawdbzy.dll
C:\WINDOWS\system32\kawdbzy.dll
C:\WINDOWS\system32\rarjbpi.dll
C:\WINDOWS\system32\kvdxscma.dll
C:\WINDOWS\sever

二、XDELBOX1.6在DOS状态下删除病毒文件，并且重新登陆系统后，用SRENG扫描工具修改或删除以下项目：
1、删除注册表项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{28907901-1416-3389-9981-372178569982}><C:\WINDOWS\system32\kawdbzy.dll>  [N/A]
    <{2598FF45-DA60-F48A-BC43-10AC47853D52}><C:\WINDOWS\system32\rarjbpi.dll>  [N/A]
    <{3D561258-45F3-A451-F908-A258458226D3}><C:\WINDOWS\system32\kvdxscma.dll>  [N/A]
2、修改注册表项：
将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]<AppInit_DLLs>这个值项的数值数据清空
3、删除服务项目：
[World Wide Web Publishing Serv / World Wide Web Publishing Serv][Stopped/Auto Start]
  <C:\WINDOWS\sever><N/A>


三、重启电脑到安全模式，用杀软全盘杀毒，有WINDOWS清理助手的话也用一下。


灰鸽子本体在这里：
[World Wide Web Publishing Serv / World Wide Web Publishing Serv][Stopped/Auto Start]
  <C:\WINDOWS\sever><N/A>

XDELBOX1.6 是什么软件么,哪里可以下载呀?我的电脑比较菜,能否麻烦说简单些,谢谢!

引用:

【fsdfqxsh的贴子】XDELBOX1.6 是什么软件么,哪里可以下载呀?我的电脑比较菜,能否麻烦说简单些,谢谢! ………………

我网盘(地址见签名)有,自己去下吧

引用:

【超级游戏迷的贴子】 我网盘(地址见签名)有,自己去下吧 ………………

大侠,麻烦看看处理后还有什么问题么?

附件: 10239522008315233327.txt

<AppInit_DLLs><kawdbzy.dll>  [N/A]
这个DD

冰刃1.22地址：http://www.onlinedown.net/soft/53325.htm
用这个软件先按路径C:\WINDOWS\System32\kawdbzy.dll找到此文件
然后强制删除。
如果无法删除的话，请将它重命名为你能找到的文件名，必须是一定能找到！例如111111111.111111111好找就行
然后重新启动，找到它，最后删除。
修改注册表项：
将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]<AppInit_DLLs>这个值项的数值数据清空
即可

引用:

【sako的贴子】<AppInit_DLLs><kawdbzy.dll>  [N/A] 这个DD 冰刃1.22地址：http://www.onlinedown.net/soft/53325.htm 用这个软件先按路径C:\WINDOWS\System32\kawdbzy.dll找到此文件 然后强制删除。 如果无法删除的话，请将它重命名为你能找到的文件名，必须是一定能找到！例如111111111.111111111好找就行 然后重新启动，找到它，最后删除。 修改注册表项： 将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]<AppInit_DLLs>这个值项的数值数据清空 即可 ………………

我把瑞星监控关了,然后可以把数值清空了,
麻烦再帮我看看有没问题

附件: 10239522008316115521.txt

好象没什么问题了,谢谢几位的帮忙!

灰鸽子？

引用:

【fsdfqxsh的贴子】 引用: 【sako的贴子】<AppInit_DLLs><kawdbzy.dll>  [N/A] 这个DD 冰刃1.22地址：http://www.onlinedown.net/soft/53325.htm 用这个软件先按路径C:\WINDOWS\System32\kawdbzy.dll找到此文件 然后强制删除。 如果无法删除的话，请将它重命名为你能找到的文件名，必须是一定能找到！例如111111111.111111111好找就行 然后重新启动，找到它，最后删除。 修改注册表项： 将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]<AppInit_DLLs>这个值项的数值数据清空 即可 ……………… 我把瑞星监控关了,然后可以把数值清空了, 麻烦再帮我看看有没问题 ………………

可以,不过呵呵,你检查下那个dll还在不在,在的话搞定了它,就是个尸体了

没事,助人为乐